Auftragsverarbeitungsvertrag (AVV)
Zuletzt aktualisiert: 2026-04-11
Dieser Auftragsverarbeitungsvertrag ("AVV") ist Bestandteil der Nutzungsbedingungen zwischen TheFitnessDB ("Auftragsverarbeiter") und dem Kunden ("Verantwortlicher") und regelt die Verarbeitung personenbezogener Daten im Zusammenhang mit den API-Diensten.
1. Geltungsbereich und Zweck
Dieser AVV gilt, wenn der Verantwortliche API-Anfragen sendet, die personenbezogene Daten enthalten oder zurückgeben können. Der Auftragsverarbeiter verarbeitet diese Daten ausschließlich zur Bereitstellung der API-Dienste gemäß den Nutzungsbedingungen.
2. Einzelheiten der Verarbeitung
Kategorien betroffener Personen: Endnutzer der Anwendungen des Verantwortlichen. Arten personenbezogener Daten: API-Anfragemetadaten (IP-Adressen, Zeitstempel, API-Key-Kennungen). Es werden keine besonderen Kategorien personenbezogener Daten oder Patientendaten (PHI) akzeptiert oder verarbeitet. Dauer: für die Laufzeit des Abonnements zuzüglich der in der Datenschutzerklärung genannten Aufbewahrungsfrist.
3. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich: personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten; sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind; angemessene technische und organisatorische Sicherheitsmaßnahmen umzusetzen; den Verantwortlichen bei der Beantwortung von Betroffenenanfragen zu unterstützen; alle personenbezogenen Daten nach Beendigung der Dienstleistung nach Wahl des Verantwortlichen zu löschen oder zurückzugeben; und alle Informationen bereitzustellen, die zur Einhaltung von Art. 28 DSGVO erforderlich sind.
4. Unterauftragsverarbeiter
Der Auftragsverarbeiter nutzt die in der Datenschutzerklärung aufgeführten Unterauftragsverarbeiter. Der Verantwortliche ermächtigt den Auftragsverarbeiter, diese Unterauftragsverarbeiter einzusetzen. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über beabsichtigte Änderungen, sodass der Verantwortliche widersprechen kann.
5. Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden, nach Bekanntwerden einer Datenschutzverletzung, die die Daten des Verantwortlichen betrifft. Die Meldung enthält Art der Verletzung, Kategorien und ungefähre Anzahl betroffener Datensätze, wahrscheinliche Folgen und ergriffene oder geplante Maßnahmen zur Behebung.
6. Internationale Übermittlungen
Der Auftragsverarbeiter übermittelt personenbezogene Daten nicht außerhalb der EU/des EWR, ohne angemessene Schutzmaßnahmen gemäß Kapitel V DSGVO sicherzustellen. Wo Übermittlungen notwendig sind, werden Standardvertragsklauseln (SCC) oder gleichwertige Mechanismen verwendet.
7. Audits
Der Verantwortliche kann die Einhaltung dieses AVV nach angemessener schriftlicher Ankündigung prüfen. Der Auftragsverarbeiter wird bei solchen Audits kooperieren und relevante Unterlagen und Einrichtungen bereitstellen.
8. Laufzeit und Beendigung
Dieser AVV gilt für die Dauer des API-Abonnements. Nach Beendigung löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht.